Voyeurismo digital, buscando webcams - 2



Hace como ocho años publiqué un post con un bug a unas cámaras de seguridad que permitía acceder a las mísmas vía web y, en algunos casos, poder controlarlas y girar, hacer zoom y controlarlas plenamente.

De aquellas no quedan tantas online aunque el método para buscarlas es más o menos el mismo, pero hay otras cámaras con un bug similar y que se han vendido muy bien durante los últimos años sumando oootro caso de Voyeurismo digital muy interesante de analizar.

Son unos 20 modelos de cámaras vendidos por Trendnet que contienen un bug más que tonto permitiendo acceder abiertamente al contenido de la cámara, básicamente le dejaron un usuario "anónimo" como un "guest" en cualquier sistema operativo, pero que tiene el mismo acceso que un usuario con contraseña al feed de video.

Ridiculez de las Trendnet IP SecurView para las que Trendnet se encargó en estos días de liberar un firmware actualizado pero... ¿quien actualiza el firmware de su cámara si apenas sabe instalarla?



De unas 50.000 cámaras de esos 20 modelos que pueden llegar a tener el bug activo unos 5% se registraron en el sitio oficial y recibirán el aviso, el resto que se avive. Al día de hoy sólo siete de los 20 modelos tienen el patch de seguridad disponible.

Esto me deja en claro un par de cosas, primero la ironía de poner una cámara de seguridad para vigilar tu casa y que la misma sea accesible desde el exterior, es más, hasta la puede usar el mísmo ladrón no sólo para identificar los puntos débiles de tu seguridad (sea oficina o casa) si no para ver cuando salís, le entregaste la posibilidad de vigilarte de una forma muy graciosa, por cierto.

Lo otro es cómo las empresas que te brindan este tipo de productos no hacen un muy buen laburo de calidad. El bug es muy tonto como para que se le pase a alguno, tener que salir rápido a taparlo pero sabiendo que mucha gente seguirá expuesta durante unos cuantos años es todo un tema.

La mayoría de los que compraron esa cámara no se enterarán nunca de este bug ni del parche, simplemente seguirán online entregando un lindo feed con imagenes, como ya vi en varios casos, de la habitación del nene o la puerta de entrada y hasta el living de la casa.

Aquí tienen algunas para probar, la mitad ya debe haber desaparecido, pero es muy fácil encontrar listas con otras, les dejo algunas todavía activas que se pueden ver en vivo y otros links a listados de ejemplo.








Algunos son terribles, desde la cama del nene hasta el restaurant, si alguna falla avise y la cambio, hay cientos de ejemplos


Aquí tienen un listado que van actualizando seguido

Y acá un pastebin de ejemplo

Más data sobre el tema en Information Week

Otros posts que podrían llegar a gustarte...

Comentarios

  • kuki    

    este es el post de fin de semana que esperaba jaja me acuerdo cunado buscaba las camaras ip en google

    • Responder
    • Citar
    • Comentado:
  • Ruben    

    Nooo! ...Vi la de la habitación del bebé y pensar que es pública, da escalofríos!

    Buen post !

    • Responder
    • Citar
    • Comentado:
  • ¿Qué hago si veo un asesinato en una de las cámaras?
    Esa es mi duda :D

    • Responder
    • Citar
    • Comentado:
  • Fabio    

    Lector Preocupado dijo:

    ¿Qué hago si veo un asesinato en una de las cámaras?
    Esa es mi duda :D


    la ley no te obliga a denunciarlo, pero tu conciencia... :D

    • Responder
    • Citar
    • Comentado:
  • Dal    

    Muy buen artículo Fabio, pero me temo que las CCTV/IPCAMs llegaron para quedarse y depende de nosotros dar una buena consultoría de seguridad a los clientes o a nuestros amigos.
    Básicamente es un lindo laburito para un técnico en redes.
    Yo tengo una FOSCAM y me tomo el trabajo de actualizarle el firmware, levantar un server VPN PPTP directo en el router y luego ahi si acceder localmente, controlo los logs de la camara (no se pueden borrar) y de mi router y demás. También la dejo posicionada a un punto negro.
    Cuando estoy de vacaciones o salgo por varios dias, la camara me permite pispear mi puerta de entrada (desde adentro) y el hall y comprobar que no se metió nadie, y si lo hiciera se activa el motion sensor y sube las fotos del delincuente a dropbox y/o a un FTP. La camara tiene un bipolar 220v hasta la UPS.
    Por otro lado no creo que un chorro la use para hacer logistica, dado que tranquilamente puede tocarme el timbre un par de veces, asumir que no estás y meterse con una amoladora a batería, como lo hace la banda de colombianos que saqueó barrio norte en Enero.
    En lo posible este tipo de medidas de seguridad debe complementarse con otras acciones, como alarma perimetral, buenos vecinos, una buena puerta y seguro de robo.

    • Responder
    • Citar
    • Comentado:
  • Chulitita    

    Es totalmente adictivo mirar estas cams... Hubo un tiempo que me quedaba horas viendo a las piramides, a la calle Abbey Road y al ruso del cyber :D:D

    • Responder
    • Citar
    • Comentado:


  • Muy bueno che me mata esta cocina (a las 2:01 arg se ve algo) XD

    • Responder
    • Citar
    • Comentado:
  • Diego    

    El otro dia hice un experimento.
    De la config de una HP laser me baje la imagen del header. Luego busque en http://images.google.com/ utilizando la misma. Listo! Ya tenia muchas impresoras al alcance de mi mano.
    Obvio que el dispositivo debe contar con placa de red.

    • Responder
    • Citar
    • Comentado:
  • jet    

    Jaja que paradojico, la gente instala esas camaras para "protección" y se terminan exponiendo públicamente mal jojo

    • Responder
    • Citar
    • Comentado:
  • Milad    

    Y a mi que me daba culpa por no hacer la cama... :D

    • Responder
    • Citar
    • Comentado:
  • enorrmann    

    Una de las cámaras pide contraseña, entonces, al entrar a este post, el browser pide autenticación.
    Si bien al poner Cancelar entra lo mas bien, por ahi el que no sabe se asusta

    • Responder
    • Citar
    • Comentado:
  • increible post.. ahora ya se que voy a mirar cuando no tenga nada bueno para ver en la tele (?) :D

    • Responder
    • Citar
    • Comentado:
  • Abel PS    

    Se cayó el Doc de Google.
    Buen post.

    • Responder
    • Citar
    • Comentado:
  • Linuxser    

    Bug?

    • Responder
    • Citar
    • Comentado:
  • Ruben dijo:

    Nooo! ...Vi la de la habitación del bebé y pensar que es pública, da escalofríos!

    Buen post !


    Yo también vi la cámara del bebé!! O será otra? Digo, no será una práctica común el uso de cámaras para el control de bebés?

    • Responder
    • Citar
    • Comentado:
  • gaSón    

    Acá hay de una niña protegiendo su colección de peluches, o capaz fan de toy story que quería ver si cobraban vida

    http://119.246.190.18/anony/mjpg.cgi

    • Responder
    • Citar
    • Comentado:
  • Andrés    

    Me salvaste la vida!!!!
    No tengo tv por cable y ahora ya se qué hacer en los tiempos muertos entre que bajo alguna serie o película!!!!! :D

    • Responder
    • Citar
    • Comentado:
  • Nadius    

    che, encontré una de Playa Varese y Cabo Corrientes en MDQ... http://camaravarese.dyndns.org:1025/view/index.shtml

    • Responder
    • Citar
    • Comentado:
  • Fede    

    http://68.148.118.30/anony/mjpg.cgi

    • Responder
    • Citar
    • Comentado:
  • Marcelo    

    Fabio, leyendo tu post me doy cuenta de que el lector desprevenido podria erroneamente creer que fuiste vos quien encontro este error en las camaras. Estaria bueno que pusieras los creditos de quienes hicieron el descubrimiento originalmente. Entiendo que en la voragine diaria de postear informacion en tus blogs y demas redes en donde participas se te puede haber escapado. Si no los tenes te los dejo aca.

    El sitio oficial del grupo de hackers que hizo la ingenieria inversa (no, no todos los hackers son anonymous), aca esta el link directo al articulo que muestra el trabajo realizado.
    http://console-cowboys.blogspot.com/2012/01/trendnet-cameras-i-always-feel-like.html

    El grupo en cuestion se llama console cowboys, y reportaron el "bug" en security focus en enero de 2012
    http://www.securityfocus.com/bid/51922/info

    Ademas, a mi criterio esto tiene mas pinta de ser un backdoor que un bug, backdoor instalado por la misma gente de TRNDNET (vaya uno a saber sus intenciones) o bien instalado por terceros lo que implicaria que TRENDNET tiene un grave problema de seguridad hace años y no se han dado cuenta.

    • Responder
    • Citar
    • Comentado:
  • Andrés    

    Marcelo dijo:

    Fabio, leyendo tu post me doy cuenta de que el lector desprevenido podria erroneamente creer que fuiste vos quien encontro este error en las camaras. Estaria bueno que pusieras los creditos de quienes hicieron el descubrimiento originalmente. Entiendo que en la voragine diaria de postear informacion en tus blogs y demas redes en donde participas se te puede haber escapado. Si no los tenes te los dejo aca.

    El sitio oficial del grupo de hackers que hizo la ingenieria inversa (no, no todos los hackers son anonymous), aca esta el link directo al articulo que muestra el trabajo realizado.
    http://console-cowboys.blogspot.com/2012/01/trendnet-cameras-i-always-feel-like.html

    El grupo en cuestion se llama console cowboys, y reportaron el "bug" en security focus en enero de 2012
    http://www.securityfocus.com/bid/51922/info

    Ademas, a mi criterio esto tiene mas pinta de ser un backdoor que un bug, backdoor instalado por la misma gente de TRNDNET (vaya uno a saber sus intenciones) o bien instalado por terceros lo que implicaria que TRENDNET tiene un grave problema de seguridad hace años y no se han dado cuenta.


    Bien ahí con el dato de la fuente, igualmente el lector además de desprevenido debería tener muy buena imaginación para pensar que Fabio hizo este descubrimiento, ya que en ningún lado dice "che, miren el bug que encontré". Guiño

    Saludos

    • Responder
    • Citar
    • Comentado:
  • Fabio    

    Andrés dijo:

    Marcelo dijo:
    Fabio, leyendo tu post me doy cuenta de que el lector desprevenido podria erroneamente creer que fuiste vos quien encontro este error en las camaras. Estaria bueno que pusieras los creditos de quienes hicieron el descubrimiento originalmente. Entiendo que en la voragine diaria de postear informacion en tus blogs y demas redes en donde participas se te puede haber escapado. Si no los tenes te los dejo aca.

    El sitio oficial del grupo de hackers que hizo la ingenieria inversa (no, no todos los hackers son anonymous), aca esta el link directo al articulo que muestra el trabajo realizado.
    http://console-cowboys.blogspot.com/2012/01/trendnet-cameras-i-always-feel-like.html

    El grupo en cuestion se llama console cowboys, y reportaron el "bug" en security focus en enero de 2012
    http://www.securityfocus.com/bid/51922/info

    Ademas, a mi criterio esto tiene mas pinta de ser un backdoor que un bug, backdoor instalado por la misma gente de TRNDNET (vaya uno a saber sus intenciones) o bien instalado por terceros lo que implicaria que TRENDNET tiene un grave problema de seguridad hace años y no se han dado cuenta.


    Bien ahí con el dato de la fuente, igualmente el lector además de desprevenido debería tener muy buena imaginación para pensar que Fabio hizo este descubrimiento, ya que en ningún lado dice "che, miren el bug que encontré". Guiño

    Saludos


    los lectores desprevenidos deberían dejar de mirar el techo y leer la nota en detalle para encontrar la fuente al pie del post bien citada y linkeada.

    no es mi responsabilidad enseñarles a leer!

    • Responder
    • Citar
    • Comentado:

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Para evitar bots, si se tardó mucho en leer la nota seguramente no sirva y tenga que intentar dos veces

Negrita Cursiva Imagen Enlace


comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador